이 기사는 2025년 03월 12일 07시58분 thebell에 표출된 기사입니다

앞으로 은행과 보험, 카드업권에서는 제3자에게 업무를 위탁할 때 리스크 관리에도 주의를 기울여야 한다. 금융의 디지털화와 금융상품 판매 채널의 다변화로 금융기관이 외부 업체에 업무를 위탁하는 사례가 늘면서 기존의 시장·신용리스크뿐 아니라 운영리스크가 커지고 있다는 지적에 따른 것이다. 금융감독원은 금융기관의 '제3자 리스크관리 가이드라인'을 마련해 올해 3분기 중 시행할 예정이다.

이번 가이드라인은 금융기관이 업무 위탁 시 최소한으로 준수해야 할 사항을 제시한다. 금융사의 규모와 위탁계약 특성, 리스크 수준 등을 반영해 자율규제(협회 모범규준)로 운영된다. 은행·카드·보험업권별로 고유한 리스크 유형을 고려한 맞춤형 리스크 관리 체계 구축이 강조된 가운데 보험법인대리점(GA)에 의한 불완전판매 문제가 불거졌던 보험업권이 첫 타자가 될 전망이다.

◇은행·카드·보험업권별 맞춤형 리스크 관리 체계 구축

금감원이 11일 제시한 가이드라인에 따르면 전 업권에서 전산사고 발생에 따른 소비자 피해를 방지해야 한다. 특히 은행들은코어뱅킹 시스템을 포함한 IT 인프라를 외부 업체에 위탁하는 경우가 많아 수탁자의 전산사고로 인한 고객 개인신용정보 유출 리스크가 크다.

이에 따라 은행을 포함한 전 업권에서는 업무를 위탁하기 전 위탁업체 현장실사에 나서 리스크 평가를 실시해야 한다. 예기치 못한 재난이나 수탁자의 업무중단에 대비해 업무연속성 계획(BCP)를 마련해 대응책을 구축해야 한다.

문제를 식별한 이후에는 이를 해결하기 위해 충분한 자원을 투입해야 한다. 고객 정보유출을 방지하기 위해 위탁계약의 제3자 리스크를 주기적으로 모니터링하고 위탁계약 종료에 대비한 출구전략을 마련하고 종료 이후에도 발생할 수 있는 리스크에 대한 점검 및 관리방안도 필수다.

카드업권에선 온라인 결제 리스크에 대응해야 한다. 카드사들은 이커머스(전자상거래) 시장과 밀접히 연관돼 있는 만큼 이커머스 회사에서 부실이 발생하면 결제대금 청산에 차질이 발생할 수 있다. 이는 고객들에게 직접적인 피해로 전가될 가능성이 높다.

이에 따라 카드업권은 전자상거래 업체의 신용평가와 모니터링을 강화해야 할 것으로 보인다. 온라인 결제 위탁업체를 선정할 때 재무건전성 평가도 필수가 될 전망이다. 사고가 발생할 경우 긴급 결제중단이나 고객보호 조치 등 관리방안도 마련해야 할 수 있다.

보험업권에는 법인대리점(GA)을 통한 불완전판매를 방지할 의무가 생겼다. GA는 보험사의 상품을 위탁판매하는 역할을 하지만 외형성장 중심의 공격적인 영업 방식으로 인해 소비자 피해 사례가 늘고 있다. 이에 따라 금감원은 GA의 영업방식에 대한 규제 및 위탁리스크 관리 체계를 강화할 방침이다. GA의 불완전판매를 방지하기 위해 내부통제를 강화하고 고객보호 기준을 명확화하는 식이다.

◇첫 적용은 보험업…리스크 평가·모니터링·출구전략 필수

보험업권이 제3자 리스크 가이드라인 첫 타자가 될 전망이다. 황선오 금감원 부원장보는 "보험사의 경우 GA를 통한 보험상품 불완전판매가 많이 발생하고 있다"며 "업권 특성과 가이드라인 내용을 반영해 가장 우선적으로 보험업권의 가이드라인을 제일 우선 추진할 계획"이라고 밝혔다. 카드사가 다음 타자가 될 가능성이 높다. 카드업권 역시 우선 가이드라인이 필요하다는 판단이다.

금감원이 제시한 가이드라인 핵심은 금융사가 위탁업체 선정부터 계약 종료 이후까지 전 과정에서 체계적인 리스크 관리 시스템을 구축해야 한다는 점이다. 이를 위해 금융기관은 업무 위탁 시 제3자 리스크를 종합적으로 평가하고 통합관리 체계를 마련해야 한다. 리스크 수준이 높은 위탁계약은 중점관리대상으로 선정해 특별 관리한다.

이사회와 경영진 책임도 강화된다. 이사회는 제3자 리스크 관리 정책을 수립하고 감독하는 역할을 맡는다. 경영진은 실제 리스크 관리체계를 구축 및 시행하며 이행 여부를 이사회에 보고해야 한다.

금융사는 위탁계약을 맺기 전 현장실사에 나서 리스크 평가를 수행해야 한다. 계약 체결 후에도 주기적으로 모니터링을 통해 위탁업체의 건전성을 점검해야 한다. 위탁계약 종료 이후에도 출구전략을 수립해 남아 있는 리스크를 관리해야 한다.

해외에서도 금융사의 제3자 리스크 관리는 중요한 이슈다. 미국과 영국, 싱가포르 등의 주요 감독기관은 금융사의 위탁 리스크를 관리하기 위해 '제3자 리스크관리 프레임워크(TPRMF)를 도입했다. 미국의 연방준비제도(FRB), 통화감독청(OCC), 연방예금보험공사(FDIC)는 금융사가 맞춤형 리스크 관리 체계를 구축하고 이사회가 이를 철저히 감독하도록 규정을 강화했다.

영국의 건전성감독청(PRA)은 고위 경영진의 책임을 명확히 하기 위해 경영진에 대한 책무 할당(SM&CR)을 도입했다. 싱가포르의 통화청(MAS)은 금융사가 위탁 계약을 체결하기 전 사전 실사를 철저히 수행하고 재위탁 리스크를 평가하도록 의무화하는 제도를 운영하고 있다.

금감원은 3월부터 5월까지 업권별 협회와 협의해 우선 적용대상 적용 금융사를 선정한 뒤 3분기 중 가이드라인을 시행할 예정이다.

최범전 금감원 감독총괄국 팀장은 "제3자 리스크는 지금껏 감독원이 들여다본 적 없는 영역인 만큼 업권별로 최소한 절반 정도는 가이드라인을 준용하도록 유도할 계획"이라며 "규모가 영세한 업체들의 경우 가이드라인 준수에 따른 규제비용이 커질 수 있다는 점을 감안해 모범규준 적용을 유예하는 방안도 고민할 수 있다"고 설명했다.